【「マイナンバーカード偽造問題」超速解説!】 自分スマホが乗っ取られる「SIMスワップ」とは?
――今回、松田市議はPayPayの不正利用により、Yahoo!ショッピングでロレックスの腕時計(225万円)を購入されるなどの大きな被害を受けました。偽造グループがPayPayを不正利用する手順は? 三上 まずSIMスワップした電話番号からPayPayにログインを試みます。PayPayはIDやパスワードを忘れてしまった場合でも、それにひもづいた携帯番号があればSMS経由でパスワードなどの再認証が行なえる。 これでスマホの電話番号だけでなく、PayPayのアカウントの乗っ取りも完了。そしてPayPayアプリのアカウント情報からは、被害者が常用するメールアドレスも確認できる。 一般的なネットサービスはメールアドレスを【アカウント名】と設定していることが多く、パスワードが不明でもメールアドレスとそれにひもづいた携帯番号さえあればパスワードの再生設定が行なえるのです。 つまり、ひとたび端末がSIMスワップされると、各種ネットサービスのアカウントまで乗っ取られる危険にさらされてしまうのです。 ――海外でもこのようなSIMスワップの手口は一般的なのでしょうか? 三上 海外でも10年代中盤から発生していますが、ほぼオンラインで契約が完結するeSIMのスワップ被害が大半。身分証を偽造し、実店舗で行なうのは日本ならではといえるでしょう。 ――ユーザーがSIMスワップ被害に対策できることは? 三上 正直、ありません。住所などの個人情報が流出している場合、誰でもマイナンバーカードを偽造される危険性があります。唯一の防御策は、利用中のスマホが突然通信できなくなった場合に、すぐに契約する通信会社へ連絡して状況を確認することです。 ――では、行政や店舗側の対策はどうでしょう。デジタル庁の河野太郎大臣は目視でのチェック方法を紹介していましたけど? 三上 現状、目視でチェックする場合は、マイナンバーカードの表面右上にプリントされる「マイナちゃん」で判別できます。本物は角度によって色が変化するのが特徴です。 そして、目視よりも確実な判別方法はマイナンバーカードのICチップを読み取るリーダーの普及になります。しかし、現状でリーダーの普及率は低く、河野大臣はその互換機能を持ったアプリの開発を検討することを発表しました。 ――そのほか、早急に行なえそうな対策はありますか? 三上 金融機関アプリのようなワンタイムパスワード認証をコード決済やECにもより普及させること。あと、私の個人的なアイデアですが、マイナンバーカードに写真や住所など個人情報を一切表示しない。これで判別手段がリーダーのみになり、店舗でのSIMスワップは防げるでしょう。 現在、多くのクレジットカードはセキュリティを重視してICチップ優先のナンバーレス化されたものになっています。ただ、マイナンバーカードをそうすると、"マイナンバーレスカード"と呼ばれてしまいそうですが......。 ――そのマイナンバーレス案は意外とアリかと思います! 取材・文/直井裕太 写真/時事通信社